允许单个可执行文件(按路径)对文件夹具有写入权限

允许单个可执行文件(按路径)对文件夹具有写入权限

有一个基于 DBF 的会计系统(1C:Enterprise 7.7 和 1S-Rarus:MBTSS 2.5 配置)在受限用户帐户下运行。并且该用户可以访问一些其他应用程序(例如 LibreOffice)。

该会计系统的数据库不在用户配置文件中,但只有该用户和管理员才可以访问。

不幸的是,有些用户会不小心直接访问文件(例如,他们使用搜索找到它),从而搞乱了系统。我想知道,是否有一种方法可以完全限制“手动”用户对文件夹的访问?

我正在考虑的是每个进程的权限,这将仅允许特定进程对会计系统文件夹进行写访问,并且不会让用户弄乱它。类似于在 iOS 中,只有特定应用程序可以访问其自己的文件,但仅限于单个文件夹/进程。我不介意用户仍然对该文件夹的内容具有读取权限。

PS 有一种方法适用于我的具体情况——使用 SQL 数据库引擎。但我需要另一个版本的 1C:Enterprise,而且价格差异太大了。

答案1

Windows 安全性基于用户;它实际上没有将应用程序作为安全主体的概念。最简单的解决方案是在不更改文件夹中文件的 ACL 的情况下拒绝对包含文件夹的“列出文件夹内容”。这样,没有人可以在文件夹中随意浏览,但任何直接访问文件夹中文件的程序都可以这样做。

添加新的访问控制条目时,它应该如下所示:

访问控制条目

重要的是,该规则适用于仅限此文件夹

添加后,高级安全设置窗口应如下所示:

安全设定

完成此操作后,您将无法导航到该文件夹​​,但您会发现直接按路径访问文件是可行的。如果程序需要能够列出文件夹中的所有文件,您可以改为更改上级文件夹的安全性。搜索将无法遍历您更改的文件夹,但如果您粘贴锁定文件夹内未锁定文件夹的路径,您将能够正常浏览它。

相关内容